Spaning från omvärldsbevakningskommittén: Cybersäkerhet, industrispionage och mänskliga misstag

Allt från medvetna angrepp till omedvetna läckor kan orsaka problem eller äventyra allt från kommande forskning till risk för liv och hälsa. Hur undviker vi att kunskap används till nedbrytande effekter i omvärlden? Hur använder vi kompetens och erfarenhet inom och utanför akademin för att säkra positiva utfall? Vilka missar kan undvikas genom bättre stöd? Hur kan det akademinära innovationsstödsystemet bli säkrare – eller mer säkerhetsmedvetet?

En fråga som blir allt viktigare att tänka på i dagens läge med öppen innovation och samarbeten är vem det är som vi öppnar dörren för? Säkerhet hänger ihop med tillit och i många fall är den outtalad. Vi behöver dock vara medvetna om de risker som finns i det outtalade för att inte vara naiva.  Vi behöver göra tilliten uttalad och pränta ner den. I innovationsstödet behöver vi lägga mer tid på att riskproblematisera, se över medvetna risker för att få med oss säkerhetsaspekten. Vad är skälet till ett vi ska gå in i samverkan och hur kan vi säkerställa att alla parters intentioner är goda?

Vi har en kultur av att vara positiva och säga ja till samverkan. Men känns något fel så är det viktigt att lyssna på magkänslan. På Örebro universitet blev personalen utbildade av experter inom kriminalitet för att undvika scenarier som inte är bra. Det är lätt att man släpper på vaksamheten när initiativet kommer från redan betrodda källor. Alla borde bygga kompetens inom detta område. Vilka riskfaktorer bör vi se upp med och hur väl ska man göra bakgrundskoller på framtida samarbetspartners?

I Norge är dock akademin väldigt restriktiv och håller på information och resultat. Det skapar tunga processer och det är svårt att få till samverkan. Detta är baksidan med att vara allt för riskmedveten.

Samarbeten är avgörande för att vi ska lyckas skapa verklig impact i samhället. Vi behöver en balans i vår riskmedvetenhet. Vi får inte begränsa för mycket och vara överdrivet misstänksamma men inte heller naiva. Men framförallt behöver vi tidigt ta ett ansvar och fundera igenom vad innovationen i fråga kan leda till. Både i negativa och positiva aspekter. Vi behöver vara beredda utan att bli handlingshämmade.

Om vi inte pratar om det vi gör kan vi inte heller hitta de spontana och oväntade samarbetena. Men istället för att prata om vad vi gör kan vi prata om hur’et. Stödsystemet har en viktig roll i att hjälpa forskarna med vad som bör skyddas och vad de ska vara försiktiga att prata om. Men också vad de faktiskt kan prata om. Ett stort läckage av säkerhetsklassad information är när inte tänker på vem som kan lyssna. T.ex. på restauranger och flygplatser, men även på pitch-aktiviteter.

En annan utmaning gällande informationshantering är offentlighetsprincipen. Innovationsstödjande enheter inom myndigheter, tex universitetens innovationskontor, behöver kunna hantera sekretess- klassat material i interaktionen med forskarna vid affärs- och IP-rådgivning, utan att det riskerar att förstöra framtida affärs- eller patenteringsmöjligheter. Dock hanteras detta på ett flertal olika sätt, men risken är värd att känna till.

Om vi blir alltför riskmedvetna och säkerhetstänkande kommer vi att förlora de oväntade mötena och det går helt emot öppenhet. Det i sin tur kommer att göra att innovationer blir lidande. Innovation vill inte prata struktur. Men vi behöver riskminimera för att innovation ska ske.

Det är svårt att förutsäga oväntade risker. Men ett sätt är att vi börjar berätta för varandra om vad vi har varit med om, exemplifiera för att skapa förståelse för vad som skulle kunna hända. T.ex. är USB-minnen ett reellt problem, likaså länkar vi klickar på.

På PRV har de en egen lagstiftning gällande sekretess och säkerhet att luta sig mot. Som anställd på PRV är detta en trygghet. Men det bygger också på den svenska tilliten, att var och en av patentingenjörerna följer de regler som finns.

Det finns oklarheter i hur tydliga dessa regler och riktlinjer är uttryckta inom akademin. Det är dessutom otydligt vem som ska hantera frågan kring balansen mellan öppen delning och säkerhet. I dagsläget finns det flera olika myndigheter som skulle kunna vara ansvariga. En av dessa är Integritetsskyddsmyndigheten: https://www.imy.se/

I Europa går trenderna mer och mer mot öppen data: https://www.eucope.org/eucopes-reaction-to-the-regulation-for-a-european-health-data-space-ehds/

I Sverige fick vi nya regler kring hantering av öppen data i mars: https://www.regeringen.se/pressmeddelanden/2022/03/nytt-rattsligt-stod-for-oppna-data/

Ett tips för kompetensutveckling inom området är RISE cybersäkerhetskurser i sin säkerhetsklassade anläggning Cyber Range, flera tillfällen under hösten: https://www.ri.se/sv/utbildning/kritisk-cybersakerhetskunskap-i-det-nya-sakerhetslaget 

Spaning från omvärldsbevakningskommittén: Ett sömlöst innovationssystem